Wireshark(Tshark)のpcapファイルを使ってみよう(No.1) [Ubuntu,Wireshark]
タイトルがヘンですが、Wireshark(Tshark)で取得したパケットキャプチャデータをいろいろと編集してみましょうということで、単なるTipsの紹介です。
Tips1:キャプチャの取得(前にも書きました)
sudo tshark -i 1 -b filesize:10000 -w packet.pcap
[-i 1]はインタフェースの1(sudo Tshark -Dでインタフェース番号を確認してね)
[-b filesize:10000]はファイルサイズが10MBでローテート
[-w packet.pcap]はpacket.pcapファイルに書き出し
で、本日キャプチャを実施したら、4ファイルができました。
-rw------- 1 root root 10240358 2010-10-31 20:56 packet_00001_20101031205515.pcap
-rw------- 1 root root 10240149 2010-10-31 20:58 packet_00002_20101031205632.pcap
-rw------- 1 root root 10240030 2010-10-31 21:11 packet_00003_20101031205845.pcap
-rw------- 1 root root 3153022 2010-10-31 21:16 packet_00004_20101031211130.pcap
ls -lの情報でも、このファイルには、いつのデータがあるか、だいたい分かります。
Tips2:キャプチャの時間を知る方法
sudo capinfos packet_00001_20101031205515.pcap
File name: packet_00001_20101031205515.pcap
File type: Wireshark/tcpdump/... - libpcap
File encapsulation: Ethernet
Number of packets: 8161
File size: 10240358 bytes
Data size: 10109758 bytes
Capture duration: 74 seconds
Start time: Sun Oct 31 20:55:18 2010
End time: Sun Oct 31 20:56:32 2010
Data byte rate: 135796.30 bytes/sec
Data bit rate: 1086370.42 bits/sec
Average packet size: 1238.79 bytes
Average packet rate: 109.62 packets/sec
簡単にキャプチャ時間(赤字)が分かりましたね。
Tips3:pcapファイルを連結する方法
4つのファイルがあったので、1つのファイル(all_packet.pcap)にくっつけようと思います。
sudo mergecap -a -w all_packet.pcap packet_00001_20101031205515.pcap packet_00002_20101031205632.pcap packet_00003_20101031205845.pcap packet_00004_20101031211130.pcap
ls -lで見てみると、33MBの連結されたファイルが出来上がりました。
-rw-r--r-- 1 root root 33873487 2010-10-31 21:25 all_packet.pcap
これをcapinfosで参照してみると、確かにパケットキャプチャした時間でした。
sudo capinfos all_packet.pcap
Start time: Sun Oct 31 20:55:18 2010
End time: Sun Oct 31 21:16:15 2010
Tips4:時間の範囲でキャプチャデータを抜く方法
all_packet.pcapは連結して、開始がSun Oct 31 20:55:18 2010、終了がSun Oct 31 21:16:15 2010です。
21:00:00~21:09:59のように10分間のキャプチャデータをファイルに保存したいときがあります。
sudo editcap -A "2010-10-31 21:00:00" -B "2010-10-31 21:09:59" all_packet.pcap time210000-210959.pcap
ls -lで見てみると、時間範囲のファイルが出来上がりました。
-rw-r--r-- 1 root root 7699127 2010-10-31 23:07 time210000-210959.pcap
これをcapinfosで参照してみると、確かに指定した時間のパケットキャプチャでした。
sudo capinfos time210000-210959.pcap
Start time: Sun Oct 31 21:00:00 2010
End time: Sun Oct 31 21:09:59 2010
Tips5:フィルタで引っ掛けたキャプチャデータを別ファイルに保存する方法
キャプチャデータの中には、不要なデータもいっぱいあります。
例えば、IPアドレスが192.168.11.5のパケットをファイルにする場合は以下のようにします。
sudo tshark -r all_packet.pcap -R "ip.addr eq 192.168.11.5" -w 192.168.11.5.pcap
今回のフィルタは "ip.addr eq 192.168.11.5"です。
フィルタをうまく使えば、もっとデータを絞ることができます。
今回は、これでおしまい。
結構使えるネタだと思います。では。
Tips1:キャプチャの取得(前にも書きました)
sudo tshark -i 1 -b filesize:10000 -w packet.pcap
[-i 1]はインタフェースの1(sudo Tshark -Dでインタフェース番号を確認してね)
[-b filesize:10000]はファイルサイズが10MBでローテート
[-w packet.pcap]はpacket.pcapファイルに書き出し
で、本日キャプチャを実施したら、4ファイルができました。
-rw------- 1 root root 10240358 2010-10-31 20:56 packet_00001_20101031205515.pcap
-rw------- 1 root root 10240149 2010-10-31 20:58 packet_00002_20101031205632.pcap
-rw------- 1 root root 10240030 2010-10-31 21:11 packet_00003_20101031205845.pcap
-rw------- 1 root root 3153022 2010-10-31 21:16 packet_00004_20101031211130.pcap
ls -lの情報でも、このファイルには、いつのデータがあるか、だいたい分かります。
Tips2:キャプチャの時間を知る方法
sudo capinfos packet_00001_20101031205515.pcap
File name: packet_00001_20101031205515.pcap
File type: Wireshark/tcpdump/... - libpcap
File encapsulation: Ethernet
Number of packets: 8161
File size: 10240358 bytes
Data size: 10109758 bytes
Capture duration: 74 seconds
Start time: Sun Oct 31 20:55:18 2010
End time: Sun Oct 31 20:56:32 2010
Data byte rate: 135796.30 bytes/sec
Data bit rate: 1086370.42 bits/sec
Average packet size: 1238.79 bytes
Average packet rate: 109.62 packets/sec
簡単にキャプチャ時間(赤字)が分かりましたね。
Tips3:pcapファイルを連結する方法
4つのファイルがあったので、1つのファイル(all_packet.pcap)にくっつけようと思います。
sudo mergecap -a -w all_packet.pcap packet_00001_20101031205515.pcap packet_00002_20101031205632.pcap packet_00003_20101031205845.pcap packet_00004_20101031211130.pcap
ls -lで見てみると、33MBの連結されたファイルが出来上がりました。
-rw-r--r-- 1 root root 33873487 2010-10-31 21:25 all_packet.pcap
これをcapinfosで参照してみると、確かにパケットキャプチャした時間でした。
sudo capinfos all_packet.pcap
Start time: Sun Oct 31 20:55:18 2010
End time: Sun Oct 31 21:16:15 2010
Tips4:時間の範囲でキャプチャデータを抜く方法
all_packet.pcapは連結して、開始がSun Oct 31 20:55:18 2010、終了がSun Oct 31 21:16:15 2010です。
21:00:00~21:09:59のように10分間のキャプチャデータをファイルに保存したいときがあります。
sudo editcap -A "2010-10-31 21:00:00" -B "2010-10-31 21:09:59" all_packet.pcap time210000-210959.pcap
ls -lで見てみると、時間範囲のファイルが出来上がりました。
-rw-r--r-- 1 root root 7699127 2010-10-31 23:07 time210000-210959.pcap
これをcapinfosで参照してみると、確かに指定した時間のパケットキャプチャでした。
sudo capinfos time210000-210959.pcap
Start time: Sun Oct 31 21:00:00 2010
End time: Sun Oct 31 21:09:59 2010
Tips5:フィルタで引っ掛けたキャプチャデータを別ファイルに保存する方法
キャプチャデータの中には、不要なデータもいっぱいあります。
例えば、IPアドレスが192.168.11.5のパケットをファイルにする場合は以下のようにします。
sudo tshark -r all_packet.pcap -R "ip.addr eq 192.168.11.5" -w 192.168.11.5.pcap
今回のフィルタは "ip.addr eq 192.168.11.5"です。
フィルタをうまく使えば、もっとデータを絞ることができます。
今回は、これでおしまい。
結構使えるネタだと思います。では。
Facebook コメント
assimane さん
-
nice! 37743
記事 846
テーマ パソコン・インターネット (13位)
プロフィール
ブログを紹介する
Assimane Blog
よろしければFeedlyに登録してね
コメント 0